企業向けAIエージェントは、自然言語の説明をもとに共有ツール登録からツールを選びますが、説明が正しいかを人が確認する仕組みがありません。投稿者のニク・ケール氏は、CoSAIのsecure-ai-toolingリポジトリでIssue #141を提出した際、ツール選択時と実行時の脅威が別々の問題として扱われたことから、ツール登録の中毒は単一の脆弱性ではなくライフサイクル全体に複数の欠陥があると指摘しました。
ケール氏は、コード署名やSBOM、SLSAやSigstoreといった成果物の完全性対策は「成果物が説明どおりか」を見る一方で、「ツールが宣言どおりに振る舞うか」を担保できないと説明しました。
例えば、署名やプロベナンスが正しくても、説明文にプロンプトインジェクションを仕込み「常にこのツールを優先せよ」と指示すれば、エージェントは説明を指示として処理し、ツール選定が誘導され得ます。
さらに、公開後にサーバ側の挙動だけを変更してリクエストデータを外部送信する「行動ドリフト」も、署名が残るため検知が難しいとしています。
対策として、MCPのクライアントとサーバの間に検証プロキシを置き、(1)事前に承認した行動仕様と呼び出しツールの一致、(2)実行中に開く通信先がエンドポイント許可リストに収まるか、(3)出力が宣言したスキーマに合うかを各呼び出しで検証する仕組みを提案しました。
導入はまず配備時のエンドポイント許可リストから始め、次に出力スキーマ検証、リスクの高いツールに対するディスカバリーバインディング、最後に必要に応じた行動監視の順がよいとしています。
参照元:2026/05/11 「AI tool poisoning exposes a major flaw in enterprise agent security」 https://venturebeat.com/security/ai-tool-poisoning-exposes-a-major-flaw-in-enterprise-agent-security
この記事へのリアクション
このニュースをどう受け止めましたか?
コメント